Эдера спонсировала этот пост.
Мы прошли долгий путь со времен программного обеспечения с обертываемым сокращением, где приложения были разработаны в монолитной форме и развернуты на одной машине за заблокированной дверью центра обработки данных. Сегодняшние системы распределены, динамичны и эластичны. Они охватывают облака, центры обработки обработки данных и краевые среды. Программное обеспечение больше не живет в одном месте. Он перемещается, обновляет и масштабирует в режиме реального времени. Безопасность в этом новом мире не может быть статичной. Он должен развиваться с самой средой выполнения.
Затвердевшее движение изображений контейнера привело к желанной дисциплине, как программное обеспечение упаковано и распределено. Поставщики, такие как Chainguard, Minimus и Docker, показали, что детерминированные минимальные изображения резко снижают риск. Но это касается только часть проблемы. Реальные угрозы часто — те, о которых вы не знаете. Эксплойты нулевого дня, вредоносные рабочие нагрузки и боковое движение процветают во время выполнения. Если закаленные изображения являются ремнем безопасности, то закаленные временные районы — это клетка с аварии. Оба необходимы для выживаемой системы.
Закаленные изображения решают в прошлом
Подвижным толчком для закаленных изображений был ответ на разрастание уязвимостей в контейнерных средах. Команды развертывали контейнеры, построенные на устаревших базовых изображениях, раздутых ненужными библиотеками и инструментами. Статические сканирования помечали бесконечные CVE. Аудиторы требовали отчетов о соответствии. Поверхность безопасности стала слишком большой, чтобы управлять.
Полезная аналогия с пониманием бокового движения с контейнерами — это разница между общим общежитием по сравнению с частной квартирой.
Снив изображения только к тому, что нужно, команды безопасности наконец смогли наложить некоторые ограничения на этот хаос. Утвержденные изображения отправляются без доступа к оболочке, пакетов -сирот или неиспользованных двоичных файлов. С помощью этой дисциплины уязвимости значительно снижаются. Восстановление изображений по ночам означает меньше воздействия в дикой природе. Это большой шаг вперед.
Но эти улучшения в значительной степени решают известные проблемы на базовом уровне изображения. CVE можно отслеживать, исправить и отсканировать. Но закаленные изображения не защищают от неизвестных уязвимостей. Они не прекращают скомпрометированные полномочия. Они не содержат вредоносного кода, созданного AI, и не предотвращают скомпрометированное приложение использовать недостатки на уровне ядра. И, возможно, наиболее критически, они не ограничивают то, что происходит, когда злоумышленник находится внутри.
Полезная аналогия с пониманием бокового движения с контейнерами — это разница между общим общежитием по сравнению с частной квартирой. В общежитии все делится кухнями, ванными комнатами и жилой площадью. Если один гостевой микроволн рыбу, все пахнут. Контейнеры ведут себя аналогично, разделяя ту же операционную систему и ресурсы, что позволяет проблемам в одном, возможно, влиять на других. Виртуальные машины, напротив, похожи на частные квартиры с изолированными средами и более сильными границами безопасности.
Средство выполнения — это место, где происходит действие
Большинство инцидентов безопасности сегодня не поступают из явного вредоносного ПО. Они происходят из сложных подвигов, которые вместе поведены цепными. Злоупотребление полномочиями. Привилегия эскалация. Агенты ИИ отвечают на отравленные входные данные. ИИ галлюцинации могут привести к выполнению ненадежного или вредоносного кода. Это проблемы, которые возникают во время выполнения, а не во время сборки.
Традиционные инструменты безопасности — SIEMS (информация о безопасности и системы управления событиями), платформы ведения журнала, правила обнаружения — стараются не отставать, мониторинг аномалий. Они полагаются на сигналы от операционной системы, часто отложены, шумно или недостаточно. Когда эти инструменты генерируют оповещения, результатом является усталость от предупреждения, в дополнение к слишком поздно. Команды безопасности тратят бесчисленные часы, занимаясь отключениями, многие из которых являются ложными положительными. Соотношение сигнал / шум ужасно.
Утвержденное время выполнения создает зоны-песочницы производственного класса-исполнения, где каждая рабочая нагрузка изолирована. Они отрицают доступ по умолчанию к общей памяти, API и системных ресурсам.
Часть проблемы заключается в том, что классические инструменты безопасности предполагают, что изоляция уже на месте. Но в контейнерных средах общих ккнеров это не так. Контейнеры — это просто процессы в той же операционной системе. Там нет жестких границ. Поэтому, когда возникает проблема выполнения, часто неясно, в чем заключается проблема, на кого она влияет или как далеко она распространилась.
Утвержденное время выполнения меняет уравнение. Он создает зоны-песочницы производственного класса-исполнения, где каждая рабочая нагрузка изолирована. Эти зоны отрицают доступ по умолчанию к общей памяти, API и системным ресурсам. Они уменьшают то, что код может делать по умолчанию, блокируя не затопленные Syscalls и привилегированные действия. Если происходит что -то подозрительное, время выполнения может отключить доступ к сети или приостановить выполнение в режиме реального времени. Вместо того, чтобы предупреждать и ждать, это действует.
Эта модель резко снижает усталость пейджера. Команды больше не затоплены спекулятивными оповещениями. Утверждение времени выполнения гарантирует, что большинство атак не могут распространяться сбоку или эскалация, даже если все остальные слои не удались. Результатом является проактивная позиция безопасности, а не реактивная.
Безопасность по дизайну, а не обнаружением
Сдвиг к закаленному времени пробега отражает большее движение в области безопасности: от преследования симптомов к профилактике инженерии. Слишком долго организации рассматривали безопасность как проблему исправления и обнаружения. Каждое новое нарушение приводит к большему количеству инструментов, большему количеству правил, большему количеству мониторинга. Это неустойчиво.
Зажженные время выполнения предлагают новый путь. Они внедряют безопасность в саму инфраструктуру. Изоляция становится свойством системы, а не политикой, уложенной сверху. Когда каждая рабочая нагрузка работает в своей собственной ограниченной среде, система становится легче рассуждать. Поверхность атаки сжимается. Радиус взрыва минимизируется.
Завершенное время забега, связанная с ИИ нагрузки плотно. Они управляют драйверами графических процессоров в изолированных зонах. Они следят за доступом к памяти, системным вызовам и использованию сети с уровня гипервизора.
Это особенно важно в средах искусственного интеллекта. Агенты ИИ динамичны. Они генерируют код, удерживают учетные данные и взаимодействуют с системами непредсказуемыми способами. Они работают на графических процессорах, которые никогда не были предназначены для безопасного многопользовательства. Традиционные инструменты наблюдения не могут заглянуть в память графического процессора. Атаки по боковым каналам, утечка данных и фальсификация уже сообщаются в дикой природе.
Утвержденное время выполнения решает это, плотно ограничивая рабочую нагрузку ИИ. Они управляют драйверами графических процессоров в изолированных зонах. Они следят за доступом к памяти, системным вызовам и использованию сети с уровня гипервизора. Это дает операторам реальный контроль и судебно -медицинскую экспертизу, даже когда рабочая нагрузка непрозрачна или развивается в режиме реального времени.
Что будет дальше для команд безопасности
Будущее безопасности инфраструктуры — это не добавление большего количества слоев. Речь идет о перемещении контроля глубже в среду выполнения. Зажженные время пробега приближают безопасность к металлу. Они обеспечивают соблюдение доверительных границ по дизайну. И они делают наблюдательную деятельность.
Для CISO и платформы это меняет ландшафт. Они больше не должны выбирать между скоростью и безопасностью. С закаленным временем пробежки контейнеры могут быть такими же быстрыми и портативными, как и всегда, а также безопасны по умолчанию. Необходимо меньше переписать политику или повторные архитекторы, чтобы просто изолировать рабочие нагрузки. Средство выполнения делает это для вас.
Для инженеров безопасности работа становится более четкой. Вместо того, чтобы утонуть в оповещениях, они могут сосредоточиться на реальных угрозах. Вместо того, чтобы гоняться за каждым новым CVE, они могут доверять системе, чтобы сдержать повреждение. Безопасность становится больше в инфраструктуре, чем реагирование на инциденты.
Это не означает, что гигиена изображения устарела. Затвердевшие изображения и закаленные время выполнения работают лучше всего вместе. Один снижает вероятность компромисса. Другой гарантирует, что если произойдет компромисс, он там останавливается.
Edera Reimagines Container Container, обеспечивая оптимизацию ресурсов для рабочих нагрузок без нарушения рабочих процессов разработчика. Мы перепроектировали основную архитектуру: решение с аппаратного обеспечения, а не программное обеспечение. Наш подход соединяет разрыв между тем, как контейнеры отправляются и как они должны работать. Узнайте больше последних из Edera Trending Stories youtube.com/thenewstack Tech Moving быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Джед Салазар — полевой технический директор в Edera. Узнайте больше от Jed Salazar
